危険な添付ファイル、トップ4

2019年6月10日

世の中では、日々数えきれないほどのスパムメールがばらまかれています。ほとんどはありふれた広告で、迷惑ではありますが大抵は無害です。しかし時折、メールに悪意あるファイルが添付されていることがあります。

そういったメールは、受け取った人にファイルを開かせるため、何か興味を引く内容を匂わせたり、有益な、あるいは重要な何かを装っていたりします。仕事関連のファイル、お得なキャンペーンの情報、有名な企業のロゴが付いたギフトカードなど、種類はさまざまです。

マルウェアを拡散させる人々には、それぞれ「お気に入りの」やり方があります。この記事では、今年初めに観測された、マルウェアが隠れていることの多いファイルのトップ4(英語記事)を紹介します。

1. ZIPやRARのアーカイブ

サイバー犯罪者は、マルウェアをアーカイブファイルに隠すのが大好きです。たとえば、バレンタインデーの前日に、Love_You0891(末尾の番号はさまざま)という名前のZIPファイルを使って、ランサムウェア「GandCrab」が拡散されました。この数週間後には、また別のサイバー犯罪者によって、データを盗み出すことに特化したトロイの木馬「Qbot」を含むアーカイブが拡散されました(英語記事)。

今年は、WinRARの興味深い機能が明らかになりました。アーカイブを作成するときに、システムフォルダーでファイルが解凍されるように設定できるのです。特に、ファイルがWindowsのスタートアップフォルダーで解凍されると、コンピューターが次に再起動したとき、ファイルが実行されてしまいます。WinRARを使用している場合は、すぐにアップデートして、この問題を修正することをお勧めします。

2. Microsoft Officeドキュメント

Microsoft Officeのファイルも、たびたび悪用されます。特によく使われるのはWord文書(DOC、DOCX)、Excelシート(XLS、XLSX、XLSM)、プレゼンテーションやテンプレートのファイルです。こうしたファイルには、ファイル内部で実行される小さなプログラム(いわゆる「マクロ」)を埋め込むことができます。サイバー犯罪者は、マルウェアをダウンロードするためのスクリプトとしてマクロを使用します。

こうしたファイルは会社員を標的とする場合がほとんどで、契約書や請求書、納税通知書、上司からの緊急連絡などを装っています。たとえば、バンキング型トロイの木馬「Ursnif」は、支払通知書を装って、イタリアの人々に送りつけられました。受け取った人がファイルを開き、(セキュリティ上の理由で既定では無効になっていた)マクロの有効化に同意すると、トロイの木馬がコンピューターにダウンロードされてしまったのでした。

3. PDFファイル

Microsoft Officeドキュメントのマクロが危険であることは割合に知られていますが、PDFファイルに仕掛けられるわなについて知る人は多くありません。PDFにも、マルウェアが潜んでいることがあるのです。この形式のファイルは、JavaScriptファイルを作成して実行するために利用されることがあります。

それだけでなく、PDFファイル内にフィッシングサイトへのリンクを隠しておくことも、サイバー犯罪者たちのお気に入りのやり方です。あるスパムメール活動では、「安全な」Webページへのアクセスを誘導し、アクセス先のWebページでAmerican Expressのアカウントにログインするように要求していました。言うまでもなく、入力したログイン情報は、そのまま犯罪者たちの手に渡ってしまいました。

4. ISOおよびIMGディスクイメージ

ここまで紹介した添付ファイルのタイプと比べると、ディスクイメージ(ISOファイルやIMGファイル)が使われる頻度は高くありません。しかし最近は、サイバー犯罪者がディスクイメージに目を向けることが多くなってきました。ディスクイメージとは基本的に、CDやDVDなどのディスクの仮想コピーを指します。

過去には、ディスクイメージを使って、認証情報の窃取に特化したトロイの木馬「Agent Tesla」などのマルウェアを標的のコンピューターに送り込んだ例がありました。このディスクイメージの中には悪意のある実行ファイルが潜んでおり、イメージファイルをマウントするとこれが起動し、スパイウェアがインストールされます。奇妙なことに、2つの添付ファイル(ISOとDOC)が同時に使われていたこともありました。フェイルセーフのためだったようです。

危険が予想される添付ファイルの扱い方

アーカイブファイルやDOCX/PDFファイルが添付されたメッセージをすべて迷惑メールフォルダーに振り分けてしまうのは、ちょっとやり過ぎかもしれません。それよりも、危険を避けるための簡単なルールを覚えておくことをお勧めします。

  • 知らないアドレスから送信された疑わしいメールは、開かないでください。なぜそんな件名のメッセージが来たのか分からないときは、不要なメールであることがほとんどです。
  • 業務上、面識のない人とメールをやり取りする必要がある場合は、送信者のアドレスと、添付ファイルのファイル名を入念に確認しましょう。何かおかしいと思ったら、ファイルを開かないでください。
  • メールに添付されているドキュメントのマクロは、どうしても必要な場合を除いて、実行しないでください。
  • ファイル内のリンクを扱う際は、注意してください。そのリンクを開く理由が分からない場合は、無視しましょう。どうしてもリンクを開く必要がある場合は、ブラウザーのアドレスバーに、該当のWebサイトのアドレスを手入力してください。
  • 危険なファイルに遭遇したら通知してブロックし、疑わしいWebサイトにアクセスしようとすると警告を発してくれる、信頼できるセキュリティ製品を使用しましょう。